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Abstract 



In this method, a control unit (1 ) is directly connected to the system bus of the microprocessor system (20) or of the 
stored-program control. The control unit compares checkpoints inserted in the safety-relevant area in the program paths 
with a stored map and outputs an error signal in the case of deviations. The control-unit (1) hardware construction differs 
from that of the central processing unit, which also operates with a different program. The checkpoints are determined by 
coordinates or other numbering and must be accurately defined by the control unit (1) by means of following information: 
a) identification of all checkpoints which follow the current checkpoint; b) the maximum time which may elapse until the 
next checkpoint is reached. The co ntrol u nit compares this identification with the stored permissible identification and 



responds in the case of deviations. 
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Patentanspruche 

1. Vcrfahren zur Obcnvachung von Mikroprozcs- 
sorsystemen und speicherprogrammierbaren 
Steuerungen, die zumiDdest eine Zentraleinheit 
enthalten, mittels einer Konlrolleinheit, die cmen 
Speicher aufweist. in dem entsprechende SoUpara- 
meter gespeichert sind. die imi den Istwerten der 
im Programmablauf festpositionierten IControll- 
punkte vergUchcn wcrden, wobei die Konlrollein- 
heit mit direktem Zugriff auf den Systembus den 
Programmablauf einer oder mehrerer Zcntralein- 
heiten ubenvachl und bei Abweichung des Istwer- 
ics von dem SoUwert die Zenu*aleinheit zu einer 
sicherheitsspezinschen Rcaktion vcranlaBt, da- 
durdi gekennzeichnet, daB in einem sicherheitsre- 
levanten Bcreich, der von der Zentraleinheit (2) 
durchtaufenen Programmpfade, frei wahlba/ ver- 
netzte ICxJitrollpunkte cingebracht sind, deren Po- 
silsons- MPjd Zeitparameter im Speicher der Kon- 
troUeinheit (1) als SoUabbild gespeichert sind und 
daB die Zentraleinheit (2) bei Erreicben eines Kon- 
trollpunktes die aktucllen Positions- und Zeilpara- 
mcter an die KontroUeinhcit (1) licfert. welche dort 
mit dem entsprechend gespcicherten SoUabbild auf 
Obereinstimmung verglichen wcrdcn, indem 

a) kontrolliert wird, ob der aktuelle Koniroll- 
punkt von dem logisch richtigen Vorganger- 
kontrcKpunkt angelaufcn wurde und 

b) eine Uhr in der Kontrolleinheit (1) gestartet 
wird die angtbt, in welchem Zeitraum der 
nSchste Kontrollpuukt aiv?elaufen sein muQ. 

2. Vcrfahren nach Anspruch 1. dadurch gekenn- 
zeichnet. daD die Kontrolleinheit (1) hardwaremS- 
Big unterschiedlich zur Zentraleinheit (2) aufgebaut 
isL 

3. Vcrfahren nach den Anspruchen I und 2. dadurch 
. gekennzetchnet, daB die Kontrolleinheit (1) mil ei- 
nem zum Programm der Zentraleinheit (2) untrr- 
schicdlichen Programm arbeiiet 

4. Vcrfahren nach den Anspruchen 1 bis 3» dadurch 
gekennzeichnel, daB die fehlerfreie Arbeiisweise 
der Kontrolleinheit (1) selbst durch die Zentralein- 
heit (2) uberwachl wird. 

5. Vcrfahren nach den Anspruchen 1 bis 4, dadurch 
gekennzeichnel, daB die Kontrolleinheit (I) eine ei- 
gcne Stromversorgung aufweist, die bei Stromaus- 
fall eine ausreichende Pufferung erlaubt 

Beschrelbung 

Die Erfmdung bezieht sich auf ein Vcrfahren zur 
Oberwachung von Mikroprozcssorsystcmen und spei- 
cherprogrammierbaren Sieucrungen, die zumindest ei- 
ne Zentraleinheit enthalten. mittels einer Kontrollein- 
heit, die einen Speicher aufwcisl, in dem entsprechende 
Sollparameter gespeichert sind, die mil den Istwerten 
der im Programmablauf festpositionierten KoniroU- 
punkte verglichen werden, wobei die Kontrolleinheit 
mil direktem Zugriff auf den Systembus den Programm- 
ablauf einer oder mehrerer Zentraleinheiten uberwacht 
und bei Abweichung des Istweries von dem Sollweri die 
Zentraleinheit zu einer sicherhciisempfindlichen Rcak- 
tion veranlaBt. 

Derartige Systeme bestehen aus einer oder mehreren 
Zentraleinheiten, die nach Vorschrift des Betriebs- oder 
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Anwenderprogramm uber ein Bussystem Komponen- 
ten ansteuem. 

Fur den richtigen Ablauf eines programmicncn Pro- 
zesses ist die einwandfreie Funkdon jeder Zentralein- 
5 heit cine notwendige Voraussetzuiig. Fehlerhafte Funk- 
tionen oder Zustande konncn. je nach Anwendung. zu 
gefahrvcJen Situationen an dem zu steucmden Gerat 
fur Mensch und Maschine fuhren. Derartige i?ehlfunk- 
tionen mussen desfaalb erkannl werden und zu einer 
10 sichercn Haltestellung des Gesamtsystems fuhren oder 
den ProzcB durch eine weitere Enheit fortfuhren lassen. 

Zur Erfullung dieser Sicherhcitsanforderungcn sind 
bereits Systeme bekannt, die mit zwei oder mehreren 
^enau parallel geschalteten Schreib-Lcse-Speichem 
15 ausgestattet sind, so daB alle Daten. die in den ersien 
Speicher geschrieben werden. auch in den folgenden 
Speichem enthalten sind Beim Lesen werden die Daten 
der zusatzlichen Speicher auf einen Vergleicher ge- 
schaltet, der die gelesenen Daten mit dem ersten Spei- 
20 cher vergleicht und bei Unglcichhciten eine Fehiennel- 
dung gibt Damit auch bei gleichartiger Verfalschung 
der Daten in den Speichem ein Fchler erkannl wird. sind 
die Daten in den zusatzlichen Speichem invertiert abgc- 
legt und werden auch beim Lesen wieder invertiert Da- 
25 her werden bei derartigen Sicherheilssystemen sowohl 
der Schaltungsaufbau als auch die Programmgestaltung 
sehr aufwendig. 

Aus der DE-OS 29 39 194 ist ein Vcrfahren zum 
Uberwachcn des ordnungsgemaBcn Ablaufs eines Pro- 
30 gramms bekannt, welches Icdiglich an den Obergabe- 
stellen der Unterprcgramme ein Prufbefehlswort auf- 
weist, das benutzl wird, um die ihm zugeborige Parame- 
terangabe als aktuellcn Pruf-Ist-Befehl mil einer vorge- 
gebenen Soll-Befehlsfolge in der Kontrolleinheit zu vcr- 
35 gleichen. Nachteilig ist es hierbei. daB nur eine sutische 
Positionskonirolle durchgefuhrl wird, bei der im Zuge 
des Programmablaufs lediglich festbestimmie Positio- 
nen,namlich die Obergangsstellen \w einem Untcrpro- 
gramm zum folgenden Unterprogramm, Oberpruft wer- 
40 den. Dieses Vcrfahren ist nicht in der Lage eine ver- 
zweigte Pfadkontrollc in einem sicherheitsrelevanien 
Bereich, im Zuge der Programmabwicklung der aktuel- 
lcn Unterprogramme durchzufuhren, da die Koniroll- 
punkie nnrht frei wahlbar und vcmeizl positionierl wer- 
45 den konncn. Fehlererkcnnung im zeiilichen Ablauf der 
Programmabwicklung sowie eine Kennung aller Kon- 
trollpunkte, die auf den aktuellcn Konirollpunki folgen 
konnen. ist bei dem Vcrfahren nach der DE-OS 
29 39 1 94 nicht moglich. 
50 In der Veroffenilichung "IBM Technical Disclosure 
Bulletin", April 1984, S. 6217 bis 6220 wird ein Vcrfahren 
bcschrieben, das eine Aufzeichnung, der von der Zen- 
traleinheit durchlaufenden Programmpfade und eine 
Ausgabe der im adressierten Speicher abgelegien Infor- 
55 mationen ermoglicht. Hierfur cnthali der Speicher ein 
fesies Bitmuster.das in Abhangigkeil von einem Steuer- 
bit uber eine Output Control-Logic an einen Hardware- 
Monitor ausgegeben werden kann. Die Kontrollpunkie 
liegen in den von der Zentraleinheit zu durchlaufenden 
60 Programmpfaden. Nachteilig ist es bei dicsem Vcrfah- 
ren, daB lediglich festbestimmie informationen an den 
Hardware- Monitor gegeben werden, die dann zu einem 
spaiercn Zeitpunkt analysien werden konnen. Fchler im 
zehlichcn Ablauf oder eine Ablaufunterbrechung zwi- 
65 schen den Kontrollpunkten, werden nicht erkannl. 

In der EP OS 01 30 467 wird ein Aufzeichnungsvcr- 
fahren fUr Mikroprozcssoren vorgestellt Hierbei cr* 
folgi, nach dem Programmdurchlauf. eine Zusammen* 



PS 35 

3 

fuhrung der fur den chronologischen Ablauf angelegten 
Atiizeichnungstabellen fur jedc Zcntraleinheit in einem 
Mikroprozcssorsystem. Hicr wird lediglich cine Metho- 
de zur spateren Diagnose aufgezeigL Dieses Verfahren 
bietet keine Fehlererkennung und entsprechende Si- s 
cherheitsreaktion wahrend dcs aktuellen Programm- 
durchlaufs. 

Der Erflndung Hegt die Aufgabe zugrunde, ein Ver- 
fahren zur Oberwachung von Mikroprozessorsysiemen 
und speicherprogrammierbaren Steuerungen zu schaf- lo 
fen, das in der Lage ist, den fehlerfreien Ablauf einer 
Oder mchrcrcr Zcntraleinheiten, synchron zum ProzeB- 
ablauf. zu kontrolliircn, wobei die Kontrollpunkte frei 
wShlbar und vernetzl in die Programmpfade einge- 
bracht wcrdcn konnen und Fehlverhalten, insbesondere, is 
die sich im zeitiichcn Ablauf crgcben oder Ablaufunter- 
brcchungen im Zuge des Programmdurchlaufs. zu cr- 
kennen und miitcls einer Fehlermeldung einc sofortige 
sicherheitsspezifische Rcaktion einleilcL 

Diese Aufgabe wird erfindungsgcmaB durch die 20 
kcnnzeichncnden Mcrkmale dcs Patentanspruchs I ge- 
losi. wahrend in den Anspriichen 2 bis 5 besonders vor- 
leilhafte Wciierbildungen Jes Verfahrens gekennzeich- 
netsind 

Damit sysicmalische Fehler ausgeschaltet werden. isl 25 
der Schaltiirigsaufbau der ziir Realisierung des Verfah- 
rens verwcndeten Konirolleinheit unierschiedlich zu 
dem der zu uberprufendcn ZeniraleinheiL Ebenso ist 
das Prufprogramm unterschiedlich zum Betriebs- und 
Anwenderprogramm aufgebaut, damit gleichariigc 30 
Fehler im Prufprogramm und im Betriebs- oder Anv. en- 
dungsprogramm sofort erkannt werdea Auf diese Wei- 
se prufl die Konirolleinheit den richiigen Ablauf der 
Zentrateinheit, wahrend umgekehrt die Zentraleinheii 
die laufende Aktivitat der Konirolleinheit testeu so daQ as 
jedcr Fehler oder Ausfall einer Einheii sicher erkanni 
wird 

Anhand der Zeichnung sei das Verfahren und eine 
beispie*-iafte Ausfuhrungsform der Kontrolleinheit na- 
hercrlauierLEszcigi <o 

Fig- 1 ein Beispiel fQr den Programmablauf der Zen- 
traleinheii mil den in die Pfadverzweigungen einge- 
brachten KontroUpunkien nach dem erHndungsgema- 
Den Verfahren, 

Fig. 2 den Informationsaufeau in einer Kontrollein- 45 
hcit fur den Programmablauf nach Fig. 1, 

Fig. 3 das Blockschaltbild eines beispielhaftcn Auf- 
baus einer Kontrolleinheit zur DurchfOhrung des erfin- 
dungsgemaDen Vet fahrens. 

In Fig. 1 isi ein Beispiel eines Programmablaufs der 50 
Zenualeinheit mil den in den Pfadverzweigungen einge- 
brachien Kontrollpunkten nach dem erfrndungsgema- 
Ben Verfahren dargestellL Das Programm ist in einzclne 
verzweigte Programmpfadc aufgeteili, die in einer be- 
stimmten Reihenfolge durchlaufen werden. In dem Pro- 55 
gramm sind die Kontrollpunkte 0.0 bis 8.0 in einem be- 
stimmtcn Schema, das vom Anwenderprogramm und 
dessen Sicherheitsanfordcrungen bestimmt wird, ange- 
ordnet Die Kontrollpunkte und die Kontrollpunktsitua- 
lion sind durch das Koordinatensyslem genau zU defi- 66 
nieren. Eine andere Kennung, beispiclswcise durch lau- 
fende Nummerierung, ist ebenso mSgfich. 

Das erHndungsgemaBe Verfahren besteht nun darin. 
daO eine Kontrolleinheit das richtige Aniaufen und 
Oberlaufen der KoniroHpunktc in der vorgegebcnen 65 
Zeil (oder Maximi *.zeit) kontroilieri und mil einem ge- 
speicherten Sollabbild vergleichl. DafOr erhall sie fOr 
jeden Konirollpunkt die folgcnden Informaiionen: 
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a) Kennung aller Kontrollpunkte. die auf den akiu- 
eyen Konirollpunkt folgen konnen; 

b) die maximale Zeiu die bis zum Erreichen des 
nachsten Konirollpunktes verstreichen darf. 

Die Zentraleinheii gibt beim Oberlaufen eines Kon- 
trollpunkies dessen Kennung an die Kontrolleinheit 
weiter. Diese vergleichl die gemeldete Aktuaikcnnung 
mil den, unler der lelzten Kennung abgespeichertcn, 
eriaubten Kennungen entsprechend dem Informations- 
aufbau, wie er in Fig. I dargestellt isL 

Als Beispiel seien hier die auf die Aktualkennung 0.0 
folgenden Kontrollpunkte 2.0, 2.5, 2.10 herausgegriffen. 
Liegl nach 0.0 im Programmpfad als nachsier Punkt 2.0 
fest, so mil dieser Punkt in der Zeil tio erreicht sein; bei 
Z5 ist die Zeit fu und bei 2:10 gehorl zur Information 
die Zeit fno. 

Fur die Zeituberwachung enihalt die Kontrolleinheit 
eine xJhr. die mil dem Erreichen eines Konirollpunktes 
jeweils neu aufgezogen wird 

Die Kontrolleinheit erkenni cint.i Fehlerfall, wenn: 

a) die gemeldete Kennung, hier die Koordinaten 
des Konirollpunktes, nichi unter den abgcspeicher- 
ten und eriaubten Kennimgcn zu finden ist, und 

b) wenn die unter der letzten Kennung gespekrher- 
le Zeit abgelaufen ist, ohne daB sich die im korrek- 
ten Ablauf folgende Kenmmg gemeldet hat 

Zur gegenseitigen Oberprufung sowohl der Zentral- 
einheii wie auch der Kontrolleinheit kann beim Errei- 
chen jeder Kontrollpunktposition von den bctroffenen 
Einheiten eine Quersummenrechnung oder eine andere 
fehlersignifikanie Berechnung durchgefuhrt werden. 
Hierdurch kann die Zentraleinheii des Mikroprozessor- 
systemsoder der speicherprogrammierbaren Sieucrung 
immer wieder die korrekte Arbeitsweise der Kontroll- 
einheit uberprufen. 

Fig. 3 zeigt ein Blockschaltbild eines beispielhaftcn 
Aufbaus einer Kontrolleinheit zur DurchfOhrung des 
erfmdungsgemaBen Verfahrens. 

Die Kontrolleinheit 1 besteht aus dem Koordinaten- 
speicher. einem speziellen Halbleiterspeicher.der unler 
den Adressen die jeweifs moglichen Fo!gepositionen 
enthalt. Dieser Speicher wird vor dem Programmablauf 
geladen. Die Informaiionen vom Sysiembus erhalt der 
Koordinatenspeicher uber den Zwischenspeicher. der 
auch gleichzeitig die erforderlichen Informaiionen vom 
Sysiembus an den Kontrollprozessor liefert Dieser hat 
die Aufgabe. das eigentliche Kontrollprogramm abzuar- 
beilen. Bei Festsiellung eines Fehlers im Programmab- 
lauf erfolgt vom Kontrollprozessor eine Fehlersteue- 
rung iiber den Sysiembus an die Zcntraleinheh 2 Diese 
Fehlersleuerung kann aus der Mitteilung dcs Fehlers 
besiehen. Sie Kann aber auch, je nach Art des Fehlers, 
eine Fehlerdiagnose enthaUea Der Kontrollprozessor 
gibt noch ein zweites Fchlcrsignal. das beispielsweise 
auf ein zweites System umschaliet, wenn das kontrol- 
lierte System ausfailt. 

Zur Oberwachung des zcitlichen Ablaufs isl eine un- 
abhgngige Uhr vorgesehen, welche bei Oberlaufen ei- 
nes Konirollpunktes neu aufgezogen wird und zwar auf 
den Wert, der maximal zum Erreichen der nachsten 
KoniroHpunktvosilion erforderlich ist In der Koniroll- 
einheit t ist noch ein Daienseparator, der cine Schalter- 
funktion ausubt zwischen Koordinatenspeicher und Sy- 
siembus angeordnet. Dieser Datenseparaior regell die 
Abfrage der Kontrollpunkte. 
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Damii die Kontrolleinhcit von der Stromversorgung 
dcs Systems unabhSngig ist. erfolgl eine separate 
Stromversorgung. die auch bei Spannungsabfall eine 
ausreichend lange Pufferung erlaubt 
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AktuQi- 
Kennung 


Folgepunkte 


0.0 


2.0 / t 


2.5 /t 


2.10/t 


2.0 


3.4 / \ 


6.0/ t 




2.5 


U,SI t 






2 10 


4.6 / t 


5.10 /t 




3.A 


4.3 / t 


4.4 IX 




^.3 


5.0/ t 








5.0 / \ 






4.5 


7.0 / t 






4.6 


4.6/ t 


5.5/1 




5.5 


8.0/ t 






5.10 


a.o/ t 






6.0 


7.0/ t 






7.0 


8.0/ t 






8.0 


0.0/ t 





















































tsmaximale Zeit zwischen Aktualkennung und Kennung 
eines Fotgepunktes 
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